本稿は、AIの普及がプライバシーに与える影響について調べたグローバルレポートの要約です。
プライバシーの観点から、AIの普及が企業にとって何を意味するかを明らかにし、企業が責任を持ってAIを活用するために取るべき重要なステップを解説することを目的としています。AIの導入がプライバシーに与える影響について常に最新の情報を入手し、リスクを軽減するための対応を講じることで、企業はAIというテクノロジーを活用しながら、個人のプライバシーを保護することができます。
AIは、すでに民間・公共分野で活用されています。しかし、他の新しい技術と同様、AIにもリスクは存在しています。KPMGの調査によると、回答者の61%がAIシステムを信頼することに慎重で、「AIのメリットがリスクを上回る」と考えている人は半数にとどまっています。また、テクノロジーリーダーの55%は、「AIシステムがどのように意思決定するか、懸念があるために、自動化が遅れている」と回答しています。AIが規制無しで幅広く使用されることによる人権や個人のプライバシーへの影響が懸念されています※1。
こうした懸念は特に(大規模な言語学習モデル、LLMに基づくアルゴリズムで制御される)生成AIに当てはまります。リスクとしては、設計上の欠陥、偏ったロジック、コーディングの間違い、セキュリティの脆弱性、そして最も重要なことに、特定の個人やグループを差別するような判断をAIがしかねないことなどが挙げられます。
アルゴリズムは予測不可能かつ複雑で、説明するのが難しいため、その独特な性質から、透明性に欠けています。また、インターネットからの大規模なデータ処理に基づいて発信するため、機密データの漏えいや法的に保護された個人情報の侵害のリスクが増大します。
国際的なプライバシー法は、AIのライフサイクルのあらゆる段階でのデータ収集に適用されるため、AIのデータマイニングやデータ収集が世界的な規制当局の監視対象となっていることは驚くにあたりません。欧州のデータ保護当局をはじめ、世界中のプライバシー監視団体が生成AIに関するデータ処理活動の合法性について調査を開始しています。
欧州連合(EU)は 世界初の試みとして、世界で最も厳しいAIプライバシーの法律を制定しようとしています。欧州データ保護委員会(EDPB)はすでにChatGPTのタスクフォースを設置し、各データ保護機関が検討している規制について協力/情報交換を促進しようとしています。
AI法は、一般データ保護規則(GDPR)に基づくプライバシー規定を基礎とし、公開性、公平性、アルゴリズムに基づく判断、また人間の尊厳に関する原則を含んでいます。これらの原則は、信頼できるAIの責任ある管理のために2019年に作成された経済協力開発機構(OECD)の原則の基礎となったもので、AIシステムはそのライフサイクルを通じて堅牢、安全、安心であるべきだとしています。
AI法は、AIが法的、倫理的、技術的に健全でありつつ、民主主義的な価値観、人権、法の支配を尊重することを義務づけることで、前述のOECDの原則をさらに強化しています。AIに関する規則には、正確であること、差別的でないこと、人間による監視と証明をすることのすべてが求められています。AI法は、リスク分類を導入し、業績評価、採用、昇進に使用されるものを含む「高リスク」AIシステムに対し、公共のリスクレベルに基づいて法的要件を定めています。
デジタルサービス法(DSA)もEUで可決され、2024年に完全発効する予定です。DSAは、AIプラットフォームに対して、透明性に関する厳格な監査の実施、透明性の確保、リスク評価の実施およびアルゴリズムの説明責任を課すものです。欧州アルゴリズム透明性センター(ECAT)はDSAの施行を支援することで、世界的な影響力を持つEUにおける新たなデジタルに関する規制環境において重要な役割を担うことを目指しています。
カナダ、中国、ブラジルでもAIに関する規制が国家レベルで整備されつつある一方で、米国では131のAIに関する法案が提出されているにもかかわらず、AIを法制化する動きはまだ出ていません。ただし、イリノイ州、メリーランド州、ワシントン州、ニューヨーク州、カリフォルニア州など一部の州では、関連する州法が既に制定されており、アルゴリズムを用いたシステムを利用する際の監査、AIモデルの公正さおよび透明性に関する規制を規定しています。
AIを法制化するために現在確立され始めているさまざまな規制は、既存のプライバシー規制と大幅に重複しています。それらの規制はAIがもたらす個人への影響を懸念して制定が進められており、特に公平性、説明可能性、透明性、セキュリティ、個人の尊重、説明責任に関する影響が懸念されています。2019年に策定されたOECDのAI原則の大半は、個人情報保護の文脈におけるプライバシー原則と関連付けられ、その解釈はAIシステムを構築する際のプライバシー・バイ・デザインの原則に及んでいます。
OECDのAI原則 | |||||
説明責任 | 包括的成長、持続可能な開発、ウェルビーイング | 人間中心の価値観、公平性 | 透明性、説明可能性 | 堅牢性、セキュリティ、安全性 | |
GDPRの原則 | 説明責任 |
|
| 合法性、公平性および透明性 | 完全性と機密性 |
プライバシー・バイ・デザインの原則 |
|
|
| 可視性と透明性(常に公開しておく) |
|
信頼は組織の収益と成長を実現する際の重要な要素です。AIを活用する組織は、AIの開発プロセスとそのシステムにプライバシーを組み込むことで、それらが強力なガバナンス、明確な説明責任、強固な監視に支えられており、安全、効果的、公平であることを保証するべきです。法整備がテクノロジーの発展に追いつくのを待つ間に、AIを使ったサービスを開始したい組織はベストプラクティスとして、AIのライフサイクルの各段階にプライバシーを組み込むべきです。
プライバシー・バイ・デザインのアプローチを採用することで、顧客、規制当局、その他のステークホルダーにAIの信頼性を保証し、悪影響を最小限に抑えることができます。組織が積極的にプライバシー・バイ・デザインのエンジニアリング・アプローチを取るのを助けるために、AIのライフサイクル全体を通して考慮すべき主要なプライバシーの原則を以下に示します。
各国は、AIの迅速な導入を進め、将来的にはビジネスの利益とプライバシーや信頼を守るための明確な公的セーフガードとを両立させることを目指しています。
オーストラリアは、安心・安全かつ信頼性の高いAIの利用を保証するために、8つの自主的な「人工知能倫理原則」を発表しました。
ブラジルは、AIの開発と利用を規制するための原則や規則、ガイドラインの制定に着手しました。ブラジルは、ラテンアメリカ地域におけるAI政策立案の最前線にいると考えられており、この地域におけるブラジルの規模と重要性を考慮すると、ブラジルが提案した「AIフレームワーク」は、この地域のトレンドセッターとなる可能性があります。
カナダの法案「C-27」には、「人工知能とデータ法」が含まれており、それは責任あるAIの開発と配備のための新たなルール作りを目指したものです。政府は「C-27」で提案されたフレームワークを補完する付属文書を発表し、カナダ国民やカナダの企業によるAIの技術革新を積極的に導き、AI技術の責任ある導入を奨励する新たな規制制度への第一歩としています。
中国は国家安全保障と国民の権益を守るため、「インターネット情報サービス推薦アルゴリズム管理規定」を発表し、また「生成AIサービスの管理に関する法案」についても提案しました。
フランスは3つの重点目標を含むAIの国家戦略を立ち上げました。重点目標とは、1つめに世界最高の人材を育成・誘致し自国におけるAIの科学的レベルを最高レベルまで高めること、2つめにAIへの投資を促進すること、3つめにAIの使用とプライバシー保護に対する倫理的アプローチを確保することです。フランス共和国データ保護機関(CNIL)は、詳細なセルフアセスメントガイドを含むAIに関する資料を掲載したウェブページと、EUのAI法に備えるためのAIに関するアクションプランを掲載したウェブページを公開しました。その計画は、GenAIのような最新のAI開発にも対応しています。
インドのAIタスクフォースは、2018年に政府が5年間活用できるAIの倫理的展開に関する政策提言を行いました。
日本の「人間中心のAI社会原則」は、データのプライバシーとセキュリティを確保し、個人が組織に提供するデータから社会が利益を得られる環境を作ることを目的としています。また、経済産業省は「AI原則実践のためのガバナンスガイドライン」を発表しています。これら新たなAIの枠組みによって、AI活用を促進する社会となるための下地を作るという目標の達成に近づくでしょう。
ニュージーランドは「ワイタンギ条約/AI、アルゴリズム、データおよびIoTに関するテ・ティリティとマンオリ族の倫理ガイドライン」を発表しました。このガイドラインは、政府機関やその他マオリ族のデータやコミュニティと関わる人々を対象としています。
サウジアラビアは2020年に「データとAIに関する国家戦略」を打ち出しました。加えて、2023年3月に「個人情報保護法」が改正され、個人のプライバシーに関連するあらゆるデータの使用に際して包括的なデータ保護が提供されるようになりました。
シンガポールは、自主的な「AIベリファイフレームワーク」を導入しました。この枠組みは、企業が自社のAIシステムで何ができるか、あるいは何ができないかについてより透明性を高めることを奨励するもので、AIに対する信頼を構築するために、ステークホルダーにより良い情報を提供し続けることを目指しています。
個人情報保護委員会(PDPC)は最近「モデルAIガバナンスフレームワーク」を発表しました。このフレームワークと併せて、組織向け実装・自己評価ガイド、ユースケース大要、シンガポールのAIベリファイ財団テストフレームワークとソフトウェアツールキットに関する解説など、役立つ資料もリリースされました。さらに、金融保護管理局は、シンガポールの金融セクター向けにAIの利用とデータ分析における「公正性、倫理性、説明責任、透明性(FEAT)を促進するための原則」を発表しました。
スペインはAIを監督する欧州初の国家機関を発表しました。スペイン人工知能監督機関(AESIA)により、スペインは欧州におけるAI規制をリードしたいと考えています。スペインデータ保護庁(AEPD)は最近、AIを含むデータ処理活動を監査するためのガイドラインを発表しました。
韓国の個人情報保護委員会は、「AI個人情報保護自己チェックリスト」を発表しました。
アラブ首長国連邦(UAE)は、AIの利用を規定する具体的な法律がないなか、責任をもってAIシステムを利用するにはどうするべきかについて事業者や一般市民の理解を促すために「倫理的AIツールキット」を作成しました。2017年10月、UAE政府は人工知能に関するUAE戦略を発表しました。
英国(UK)は、AIが個人の権利と自由に「高いリスク」をもたらす可能性があるとして、AIの適切な利用を優先事項として宣言しました。AIを安全に導入するためには、国民の信頼が最も重要であるとしています。国家AI戦略は、英国が世界的なAI大国であり続けるための10年計画を定めており、英国はAI規制に対してイノベーションを促進するアプローチを提案しています。この取組みを支援するために、情報コミッショナー事務局(ICO)は、AIとデータ保護ツールキットを含むAIとデータ保護のリソースを提供しています。データ倫理・イノベーションセンター(CDEI)も「AIバロメーター」を発表しました。
米国(US)では、連邦政府によるAIの法規制はまだ提案されていません。しかし、州法レベルでAI関連法を制定している州や、州法の制定に取り掛かっている州もあります。国立標準技術研究所(NIST)は、AIリスク管理フレームワークを開発し、連邦取引委員会(FTC)は、人工知能とアルゴリズムの使用に関するガイダンスを発表しました。
データプライバシーは、AIファーストの企業の基盤であり、個人情報がどのように展開されるかを明確にし、個人情報が悪用された場合には、迅速な対応とともに、完全な説明責任を負っています。
AIのスピードと効率は世界を変えつつあり、企業がその可能性を活用しようと躍起になるのは当然です。顧客やその他のステークホルダーにデータが責任を持って使用されていることを信用してもらえる場合にのみ、技術のアドバンテージは、競争優位性をもたらします。
規制当局がAIの進歩に追いつくのにまだ苦労している一方、EUのAI法は、規制は包括的なものであり、コンプライアンス違反には重大な結果が伴うという強いメッセージを送っています。明確な倫理指針に基づき、AIの利用について強固な管理体制を構築する企業は、潜在的なリスクから社会を守り、規制要件を満たしながら、AIの利点を活用できるでしょう。
1:規制環境を理解し、規制に沿ったAIプライバシー戦略を策定する
立法者、政策立案者、規制当局は、AIシステムを既知の標準に沿って規制することを一貫して強調しています。そのため、自社のビジネスに適用される規制の枠組みを特定し、どの枠組みに準拠するかを決定し、AIの導入方法を計画することが不可欠です。さまざまな規制を満たすAIの利用基準を作成し、それに従ってAIの開発やAI関連の事業活動を合理化すべきです。
2:AIプロジェクトにプライバシー・バイ・デザインを組み込む
AIの構想段階からライフサイクル全体にかけて、プライバシー影響評価(PIA)やデータ保護影響評価(DPIA)を体系的に実施することでプライバシーへの影響を評価し、コンプライアンスに関連する課題に対処しておくことが必要です。ISO 31700 Privacy by Design StandardやKPMGのPrivacy by design Assessment Frameworkで概説されているプライバシー・バイ・デザインという考え方は、組織がAIシステムにプライバシーを組み込むのに役立ちます。
開発したシステムには匿名化されたデータや個人情報ではないデータしか使用されていないと思っていても、プライバシーリスクが発生する可能性があります。たとえば、訓練データセットやAIモデルから個人情報が特定されたり、AIモデルの学習に使用された個人情報以外のデータが個人やコミュニティに影響を与えたりするケースが挙げられます。頑健性の評価には、AIのライフサイクル全体にわたるセキュリティおよびプライバシー脅威のモデル化と、利害関係者との協議なども含まれます。データジャスティス(データを使用する際に人々が十分公平に扱われているか)や先住民のデータに関する主権(先住民のコミュニティ、民族、土地、資源に関するデータを先住民自らが管理する権利)など、より広範なプライバシー問題を考慮する必要があります
3:AIのプライバシーリスクの評価
PIA/DPIAと同時に、またはPIA/DPIAを実施した後に、AIのプライバシーリスクを評価してください。有効な評価要件とするために、主要な標準、ベストプラクティス、行動規範を採用するようにしてください。評価の実施は、あなたが開発者であっても、AIシステムを取得し利用するクライアントであっても検討すべきものです。あなたがクライアントである場合は、開発者にPIAや関連するAIプライバシーリスク評価の結果を裏付ける文書を求めてください。もし開発者がこの文書を提供できない場合は、別のプロバイダーを検討してください。英国やEUを含む多くの区域では、PIA/DPIAは法的要件となっています。
4:AIシステムの監査
あなたがAIシステムの開発者、あるいはAIのサードパーティ/ベンダーであるならば、信頼できるAIを構築するために必要な注意を払っていることを、顧客や規制当局に保証する必要があります。そのための1つの方法として、アルゴリズムの影響評価を含め、認知された基準、規制のフレームワーク、ベストプラクティスに照らした監査があります。
5:入力と出力に関する説明可能性や透明性を確保し、権利と選択を尊重する。
質疑応答に備え、またAIの開発や利用によって影響を受けると考えられる個人のプリファレンスを管理できるよう準備しておくべきです。組織がAIを意思決定の自動化に使いたいと考えている場合は、AIがエンドユーザーにどのような影響を与えるかをわかりやすく説明できなければなりません。
説明可能性とは、AIシステムが特定の意思決定、レコメンド、予測に至った理由を明確に示す能力のことです。質問に答えたり、AIシステムの開発や使用によって影響を受ける個人のプリファレンスを管理したりできるように準備しておくことが大切です。AIに関するワークフローを文書化し、どのようなデータが使用されたのか、どのようにエンドユーザーに適用されたのか、またエンドユーザーが意思決定の目的でのAIの使用に異議を唱えたり、異議を申し立てたりするにはどうすればよいのかがわかるようにしておくことを検討してください。
※1:関連レポート
本稿は、KPMGインターナショナルが2023年9月に発表した「Privacy in the new world of AI」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。
